Cloud Computing Compliance Controls Catalog (C5)
ภาพรวม

Cloud Computing Compliance Controls Catalog (C5) คือแผนการการรับประกันที่ได้รับการสนับสนุนจากรัฐบาลเยอรมนี เปิดตัวในเยอรมนีโดย Federal Office for Information Security (BSI) เพื่อช่วยองค์กรต่างๆ ให้แสดงให้เห็นความปลอดภัยในการดำเนินงานต่อต้านการโจมตีทางไซเบอร์แบบธรรมดาภายในบริบทของ “คำแนะนำด้านความปลอดภัยสำหรับผู้ให้บริการคลาวด์” ของรัฐบาลเยอรมัน
การรับประกัน C5 สามารถใช้ได้โดยลูกค้า AWS และที่ปรึกษาที่ปฏิบัติตามข้อกำหนด เพื่อทำความเข้าใจขอบเขตของบริการรับประกัน IT-Security ที่ AWS เสนอให้เมื่อพวกเขาย้ายปริมาณงานขึ้นไปบนคลาวด์ C5 เพิ่มระดับ IT-Security ที่กำหนดโดยกฎระเบียบเทียบเท่ากับ IT-Grundschutz โดยมีปัจจัยควบคุมคลาวด์แบบเฉพาะเพิ่มเข้ามา
C5 เพิ่มปัจจัยควบคุมเพิ่มเติมซึ่งให้ข้อมูลเกี่ยวกับสถานที่ตั้งข้อมูล การจัดเตรียมบริการ ขอบเขตอำนาจศาล การรับรองที่มีอยู่ ภาระผูกพันในการเปิดเผยข้อมูล และคำอธิบายแบบครบวงจร เมื่อใช้ข้อมูลนี้ ลูกค้าสามารถประเมินว่าข้อปฏิบัติทางกฎหมาย (เช่น ความเป็นส่วนตัวของข้อมูล) นโยบายของตนเอง หรือสภาพแวดล้อมของภัยคุกคาม มาเกี่ยวข้องกับการใช้บริการการประมวลผลระบบคลาวด์ของพวกเขาได้อย่างไร
การรับประกัน C5 สำหรับแอปพลิเคชัน SaaS และ PaaS ของคุณ
ลูกค้า AWS สามารถรับการรับประกัน C5 สำหรับแอปพลิเคชันคลาวด์ที่เปิดใช้งานบนโครงสร้างพื้นฐานของ AWS ได้ AWS เป็นผู้ให้บริการคลาวด์เจ้าแรกในเยอรมนีที่ได้รับ C5 ในระดับโครงสร้างพื้นฐานเมื่อเดือนพฤศจิกายน 2016 ด้วยรายงาน C5 AWS ได้วางรากฐานสำหรับการจัดทำเอกสารการปฏิบัติตามข้อกำหนด C5 ในฐานะผู้ให้บริการโครงสร้างพื้นฐานเป็นบริการ (IaaS)
ในตอนนี้ ลูกค้าของ AWS สามารถรับการรับประกัน C5 สำหรับแอปพลิเคชันคลาวด์ได้โดยไม่ต้องผ่านการตรวจสอบความปลอดภัยทางกายภาพของศูนย์ข้อมูลหรือโครงสร้างพื้นฐานของคลาวด์ ลูกค้ายังสามารถยืนยันการปรับใช้แอปพลิเคชันในฐานะซอฟต์แวร์เป็นบริการ (SaaS) และแพลตฟอร์มเป็นบริการ (PaaS) ให้กับขอบข่ายการรับประกัน C5 ดังนั้นลูกค้าของพวกเขาจะได้รับหลักฐานว่าพวกเขาใช้การรักษาความปลอดภัยทาง IT ระดับมาตรฐาน BSI อย่างมีประสิทธิภาพในทุกๆ ชั้น
คำยืนยันจากลูกค้า C5
BSI Cloud Computing Compliance Control Catalogue (C5) ครอบคลุมทุกแง่มุมของบริการคลาวด์ที่ดำเนินการอย่างปลอดภัย สำหรับลูกค้าปัจจุบันของ AWS การอภิปรายภายในกับผู้จัดการด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดจะได้รับการอำนวยความสะดวกอย่างมาก สำหรับลูกค้าในอนาคต การถ่ายโอนกรณีการใช้งานไปยัง AWS จะเป็นเรื่องที่ง่ายดายขึ้นมาก ไม่ว่าในกรณีใด เรามองว่าการรับประกันนั้นจะเพิ่มการบริโภคบริการได้อย่างมีนัยสำคัญ
Computacenter AG & Co oHG
ใบรับประกัน BSI C5 คือหลักฐานว่า Box Cloud คือโซลูชันระบบคลาวด์ที่ปลอดภัยสำหรับ Enterprise Content Management ด้วยข้อผูกมัดต่อการปฏิบัติตามข้อกำหนดและการลงทุนที่ปฏิบัติตามข้อกำหนดทั้งในเยอรมนีและยุโรป Box แสดงให้เห็นว่าตลาดเหล่านี้มีความสำคัญต่อบริษัทอย่างไร Box ก็ใช้ประโยชน์จากโครงสร้างพื้นฐาน AWS ในภูมิภาคแฟรงค์เฟิร์ตซึ่งปฏิบัติตามกฎระเบียบของ C5 เช่นเดียวกับเจ้าอื่นๆ
Box, Inc.
“ใบรับประกัน C5 ของ AWS ซึ่งเป็นแผนการที่ออกแบบมาเพื่อจัดการโครงสร้างพื้นฐาน เป็นหลักฐานสำคัญที่แสดงถึงความปลอดภัยของข้อมูลสำหรับเราและลูกค้าของเราในส่วนของศูนย์ข้อมูล เซิร์ฟเวอร์ เครือข่าย และข้อมูล ด้วยความปลอดภัยที่เชื่อถือได้ของ AWS เราจึงสามารถทุ่มเทพลังงานและจดจ่ออยู่กับธุรกิจของเราได้ เพราะรู้ว่ามีผู้ที่ให้การดูแลเป็นอย่างดีแล้ว”
e-Spirit AG
คำถามที่พบบ่อยต่อไปนี้มีจุดประสงค์เพื่อเป็นแนวทางในการรับการรับประกัน C5 สำหรับแอปพลิเคชัน SaaS และ PaaS ของคุณ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ C5 และ “Cloud Computing Compliance Controls Catalogue (C5) – เกณฑ์การประเมินความปลอดภัยของข้อมูลของบริการระบบคลาวด์” ได้ที่ BSI website
-
บริการของ AWS ใดที่อยู่ในขอบเขตสำหรับ C5?
บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ C5 อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้และ/หรือสนใจบริการอื่นๆ โปรดติดต่อเรา
-
C5 คืออะไร?
C5 (Cloud Computing Compliance Controls Catalogue) เป็นมาตรฐาน “cloud computing IT-Security” ในเยอรมนี ออกแบบและจำหน่ายโดย BSI ในเดือนกุมภาพันธ์ 2016 ชุดการควบคุม C5 จะมีการรับประกันเพิ่มเติมให้แก่ลูกค้าในเยอรมนี ขณะที่พวกเขาย้ายปริมาณงานที่ซับซ้อนและมีการควบคุมไปยังผู้ให้บริการ Cloud Computing Service เช่น AWS C5 ครอบคลุมมาตรฐานสากลต่อไปนี้:
- ISO/IEC 27001:2013 (ISO – International Organization for Standardization)
- ISO/IEC 27001:2013 (ISO – องค์การมาตรฐานสากล)
- AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
- ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
- IDW ERS FAIT 5 04.11.201 (ร่างประกาศว่าด้วย: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["หลักการด้านบัญชีที่เป็นที่ยอมรับโดยทั่วไปสำหรับการจัดจ้างบุคคลภายนอกที่เกี่ยวข้องกับการบริการด้านบัญชีรวมถึง Cloud Computing"] เวอร์ชัน 4 พฤศจิกายน 2014)
- BSI IT-Grundschutz Catalogues ฉบับที่ 14 เวอร์ชัน 2014
- BSI SaaS Sicherheitsprofile 2014 [BSI SaaS Security Profiles 2014]
-
ใครสร้างมาตรฐานใหม่นี้ขึ้นมา?
สำนักงานความมั่นคงทางไซเบอร์แห่งชาติของเยอรมัน Bundesamt für Sicherheit in der Informationstechnik (BSI) ได้สร้างมาตรฐาน C5 ขึ้น BSI นิยามข้อกำหนด IT-Security สำหรับระบบหน่วยงานของรัฐทั้งหมด และบริษัทเยอรมันส่วนใหญ่จัดกลยุทธ์ IT-Security ของพวกเขาให้สอดคล้องกับมาตรฐาน BSI
-
ทำไมมาตรฐานใหม่นี้จึงถูกสร้างขึ้น?
ปัจจัยควบคุมจากมาตรฐานที่กล่าวไว้ด้านบนจะได้รับการรวบรวมและจัดไว้เป็นชุดสำหรับขอบเขตของ Cloud Computing โดยเฉพาะ ซึ่งจะเป็นประโยชน์ต่อ CSP และลูกค้าด้วยการให้ความเข้าใจที่แจ่มแจ้งเกี่ยวกับบทบาทของ CSP และบทบาทของลูกค้าในโมเดลความรับผิดชอบร่วมกัน
-
C5 กับ IT-Grundschutz ของ BSI แตกต่างกันอย่างไร?
IT-Grundschutz คือมาตรฐานสำหรับการสร้างและรักษาการปกป้องข้อมูลขององค์กรที่เหมาะสม IT-Grundschutz Catalogues อธิบายการป้องกันสำหรับกระบวนการทางธุรกิจทั่วไป ระบบด้าน IT และแอปพลิเคชัน และกล่าวถึงการป้องกันข้อมูลของตนเองขององค์กร C5 มอบคำแนะนำเกี่ยวกับข้อเสนอของผู้ให้บริการระบบคลาวด์ (CSP)
-
ภูมิิภาคใดของ AWS ที่อยู่ในขอบเขตสำหรับ C5?
ภูมิภาค AWS ที่อยู่ในขอบเขตสำหรับ C5 ได้แก่ แฟรงเฟิร์ต ไอร์แลนด์ ลอนดอน ปารีส สตอกโฮล์ม และสิงคโปร์ รวมถึงสถานที่ตั้ง Edge ในเยอรมนี ไอร์แลนด์ อังกฤษ ฝรั่งเศส และสิงคโปร์
-
ผลประโยชน์ของลูกค้าของมาตรฐานนี้คืออะไร?
โดยเฉพาะอย่างยิ่ง ในเยอรมนี ลูกค้าจะเคยชินกับการมองหาบริการที่ได้รับการรับรองจาก IT-Grundschutz ของเยอรมัน (ความปลอดภัยตามบรรทัดฐานของ IT) ที่กำหนดโดย BSI IT-Grundschutz จะทำงานได้ดีกับระบบภายในองค์กรหรือการจัดจ้างบุคคลภายนอกแบบดั้งเดิม แต่ไม่เหมาะสมกับการประมวลผลระบบคลาวด์ C5 จะมอบรายงานที่ยืนยันระดับ IT-Security ที่เทียบเท่ากับ IT-Grundschutz ซึ่งครอบคลุมทุกด้านของ IT-Security ทั้งหมดสำหรับการประมวลผลระบบคลาวด์ให้แก่ลูกค้า สำหรับเจ้าหน้าที่ การรับประกัน C5 ถือเป็นข้อกำหนดพื้นฐานในกระบวนการการจัดหา
-
AWS จะสนับสนุนให้ฉันได้รับใบรับประกัน C5 สำหรับแอปพลิเคชัน SaaS และ PaaS ได้อย่างไร?
โดยหลักแล้ว C5 มีไว้สำหรับผู้ให้บริการระบบคลาวด์มืออาชีพ ผู้ตรวจสอบ และลูกค้าของผู้ให้บริการระบบคลาวด์ ซึ่งกำหนดว่าข้อกำหนด (อาจถูกอ้างถึงว่าปัจจัยควบคุม) ใดที่ผู้ให้บริการระบบคลาวด์ต้องปฏิบัติตามหรือข้อกำหนดขั้นต่ำใดที่ผู้ให้บริการระบบคลาวด์ต้องทำให้ได้ ลูกค้าของ AWS ได้รับประโยชน์จากการรับรอง C5 สำหรับชั้นโครงสร้างพื้นฐาน (IaaS) ซึ่งทำให้พวกเขาสามารถมุ่งเน้นไปที่การรับประกันของแอปพลิเคชันชั้น SaaS / PaaS ได้
AES เป็นผู้ให้บริการระบบคลาวด์เจ้าแรกในเยอรมนีที่ได้รับ C5 ในระดับโครงสร้างพื้นฐานเมื่อเดือนพฤศจิกายน 2016 ด้วยการรับรอง C5 ของเรา เราได้วางรากฐานให้คุณได้รับใบรับประกัน C5 สำหรับแอปพลิเคชันคลาวด์จากผู้ตรวจสอบของคุณ ซึ่งจะทำให้ลูกค้าของ AWS มีโอกาสได้รับการรับรอง C5 ของตนเองโดยไม่จำเป็นต้องมีความปลอดภัยทางกายภาพของศูนย์ข้อมูลและการจัดการส่วนโครงสร้างพื้นฐานของระบบคลาวด์ในขอบข่ายของการตรวจสอบส่วนบุคคลก็ได้ แอปพลิเคชันที่ถูกปรับใช้ในรูปแบบซอฟต์แวร์เป็นบริการ (SaaS) และแพลตฟอร์มเป็นบริการ (PaaS) สามารถได้รับการรับประกันตามขอบข่ายการรับประกัน C5 ได้ ดังนั้นลูกค้าของคุณจะได้รับหลักฐานว่าพวกเขาใช้การรักษาความปลอดภัยทาง IT ระดับมาตรฐาน BSI อย่างมีประสิทธิภาพในทุกๆ ชั้น
-
ฉันจะรับใบรับประกัน C5 ได้อย่างไร?
บัญชีรายชื่อปัจจัยควบคุมการปฏิบัติตามข้อกำหนดจะระบุว่าผู้ตรวจสอบสาธารณะเป็นผู้ออกใบรับประกันสำหรับบริการระบบคลาวด์ที่ตรวจสอบตามขั้นตอนที่ได้รับการยอมรับในระดับสากล ตามหลักแล้ว การรับประกันเป็นรายงานการตรวจสอบ ซึ่งผู้ตรวจสอบจะแสดงให้เห็นว่ามีการปฏิบัติตามข้อกำหนดและนำไปใช้อย่างมีประสิทธิภาพหรือไม่
สำหรับคำถามที่เกี่ยวกับการเตรียมตัวและการดำเนินการตรวจสอบ C5 โปรดติดต่อผู้ตรวจสอบของคุณ
-
เกณฑ์ใดที่ฉันต้องให้ความสนใจขณะเลือกผู้ตรวจสอบ?
การตรวจสอบประจำปีมักจะไม่ดำเนินการโดยผู้ตรวจสอบสาธารณะเป็นรายบุคคล แต่เป็นทีม ทีมนี้ยังรวมถึงผู้เชี่ยวชาญด้าน IT อีกด้วย ในการรับรองบัญชีรายชื่อปัจจัยควบคุมการปฏิบัติตามข้อกำหนด สมาชิกทีมต้องยืนยันว่าตนเองมีคุณสมบัติ (ดูส่วน 3.5.1) ตัวอย่างรวมถึงการรับรองจากISACA (CISA, CISM, CRISC), CSA (CCSK) หรือ ISO 27001 และ ผู้ตรวจสอบของ IT-Grundschutz คุณสมบัติเหล่านี้ต้องได้รับการระบุและยืนยันในใบรับประกันนั้นๆ
-
กระบวนการตรวจสอบเพื่อรับใบรับประกัน C5 จะใช้เวลานานเท่าใด?
ระยะเวลาของกระบวนการการตรวจสอบขึ้นอยู่กับใบรับรองที่บริษัทของคุณมี การรับรองเช่น ISO 27001 ช่วยย่นกระบวนการตรวจสอบ แนะนำให้ทำใบรับประกันพร้อมกับใบรับรอง เนื่องจากข้อกำหนดทั้งหมดของ ISO IEC 27001 จะระบุอยู่ในบัญชีรายชื่อปัจจัยควบคุมการปฏิบัติตามข้อกำหนด
-
มาตรฐานนี้มีผลกระทบในระดับสากลหรือไม่?
BSI ประสานงานนี้กับ ANSSI และ Secure Cloud Label ที่กำลังจะมีขึ้นของพวกเขา มาตรฐาน C5 ได้รับอิทธิพลจากและมีอิทธิพลกับมาตรฐาน Secure Cloud ในฝรั่งเศส ด้วยเป้าหมายที่ชัดเจนในการมีตัวเลือกสำหรับการยอมรับร่วมกันภายใต้ตราร่วมที่เรียกว่า ESCloud
-
ใบรับประกันและการรับรองแตกต่างกันอย่างไร?
ใบรับรองออกโดยบริษัทผู้เชี่ยวชาญที่ได้รับการรับรองและมักจะมีอายุระหว่างหนึ่งถึงสามปี สามารถรับใบรับประกันได้ระหว่างการตรวจสอบการปฏิบัติตามข้อกำหนดหรือการทำบัญชีโดยบุคลากรที่มีคุณสมบัติ การรับประกันมุ่งเน้นที่มุมมองการใช้งานอย่างต่อเนื่องมากกว่า ซึ่งหมายความว่าวงจรการตรวจสอบซ้ำจะสั้นลงมากเป็นทุกๆ 6 เดือน ตาม ISAE 3000 / 3402 นั้น กระบวนการตรวจสอบจะนำส่งหลักฐานของความเหมาะสมและประสิทธิภาพตลอดระยะเวลาที่ผ่านไป ใบรับรองสามารถรับรองได้เพียงช่วงเวลาสั้นๆ เท่านั้น
-